Конференция «Защищенные компоненты в рационе коров» 07. февраля 2013, ВВЦ, Москва
Почему взламывают даже защищенные CMS на безопасном...
Transcript of Почему взламывают даже защищенные CMS на безопасном...
Почему взламывают даже защищенные CMS на безопасном хостинге
// BITRIX 2016
Григорий Земсков, компания «Ревизиум»
Чтобы защитить сайт от взлома, нужно знать, как
сайт могут взломать
Заблуждение про взлом—Веб-атаки - как единственный вариант взлома сайтов
—Защищенная CMS на безопасном хостинге гарантирует безопасность сайта
—Технических мер достаточно
Варианты взлома сайтов
Варианты взлома сайтов
Атаки и взлом через веб— эксплуатация уязвимостей:
— в скриптах CMS
— плагинах и модулях
— доработках
— брутфорс админ-панелей сайтов
— DOS/DDOS атаки
Защита от веб-атак— обновление CMS и плагинов
— минимизация плагинов
— доработки опытными разработчиками
— проксирование трафика, WAF
— антибрутфорс плагины и сервисы (fail2ban, Login LockDown)
— антиDDOS на хостинге
Если CMS неуязвима?— взломают сайт через соседний по аккаунту
— перехватят доступы через WI-FI в кафе, украдет троян на компьютере, уведут через «фишинг» или взломанный email
— «сбрутят» пароль от FTP/SSH
— внедрят вирусный код через phpmyadmin в базу данных
— сам веб-мастер установит зараженный компонент
— «рутанут» сервер VPS/хостинга
Найти пароль в Google
Взлом не через веб— перехват (кража) доступов
— брутфорс атака на FTP/SSH/панель хостинга
— взлом сайта через соседние сайты на аккаунте
— компрометация сервера хостинга
Защита от взлома— грамотный выбор хостера
— изолированное размещение сайтов
— ограничение по IP, двухфакторная аутентификация
— регулярная смена паролей
— работа по безопасному каналу (VPN)
— нет FTP, да - SFTP или хотя бы FTPS
— минимизация доступных функций в панели
Когда виноват подрядчик— недобросовестный подрядчик (веб-мастер, программист, контент-менеджер) оставляет «закладки»
— подрядчик устанавливает зараженные компоненты (nulled, не покупает)
— утечка доступов к хостингу/сайту у подрядчиков
— социальная инженерия / фишинг
Безопасная работа с подрядчиками
— управлять доступами (сразу менять после завершения работ, предоставлять минимальные привилегии на минимальный срок)
— аудит после проведения работ
— инструктаж подрядчиков
— работа по договору
Общие рекомендации— выработать политику безопасности
— технические меры защиты
— организационные меры защиты
— информирование подрядчиков/персонал, контроль за исполнением
— уязвимостью часто бывает сам человек
— безопасность - это процесс
— только комплексный подход гарантирует безопасность